Задать вопрос
Alukardd
@Alukardd

OpenSSL: подписать корневой сертифкат?

Здравствуйте!


Собственно, нужно при перевыпуске сертификата корневого CA подписать его предыдущим сертификатом.


Можно ли? И как?
  • Вопрос задан
  • 5595 просмотров
Подписаться 3 Оценить Комментировать
Решения вопроса 1
Maximus43
@Maximus43
Что-то вы путаете. Если новый «корневой» сертификат подписать старым корневым сертификатом, то это будет обычный промежуточный сертификат. Ничего этим вы не выиграете. Срок действия изданных сертификатов не может быть больше, чем сертификат подписанта.
Корневой сертификат можно переиздать со старым ключом, тогда у нового корневого сертификата будет такой же AKI (Authority Key Identifier), что и у старого. Это позволит использовать новый корневой сертификат для подписи новых сертификатов, которые будут валидны со старым корневым сертификатом.
Уточните, что конкретно вы хотите?
Ответ написан
Пригласить эксперта
Ответы на вопрос 3
Sardar
@Sardar
Зачем? У предыдущего истекает срок, его подпись игнорируется. К тому же вы выпускаете корневой CA, которому доверяют по умолчанию при любых условиях.
Ответ написан
AnViar
@AnViar
Теоретически:
1. Генерируем новый секретный ключ
2. Создаём запрос на сертификат
3. Геннерируем новый сертификат, используя старый сертификат, старый ключ и запрос нового сертификата.
Практически — не уверен, что всё будет хорошо с истекшим сертификатом.
Ответ написан
Maximus43
@Maximus43
Честно говоря, я так и не понял суть. :-)
Понял, что вы собираетесь создать корневой ЦС в режиме Off-line root. Потом вы создаете промежуточный ЦС, подписанный корневым, и этим ЦС будете подписывать сертификаты конечных устройств. Или вы просто загрузите сертификат (публичный ключ) промежуточного ЦС на свои устройства, чтобы они, видимо, проверяли сертификаты конечных пользователей.
А вот дальше я совсем ничего не понял. Кто должен подписывать сертификаты? Сертификаты для кого? Что значит предыдущий УЦ?
Ответ написан
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Похожие вопросы